Topline
Rockstar Games — vývojári populárnej série videohier Grand Theft Auto — boli Nabúral len niekoľko dní po tom, ako sa servery giganta Uber stali terčom podobného narušenia, údajne tým istým hackerom, ktorý použil proces nazývaný sociálne inžinierstvo, vysoko efektívny spôsob útoku, ktorý sa spolieha na klamanie zamestnancov cieľovej spoločnosti a môže byť ťažké ho strážiť. proti.
Údajnému tínedžerskému hackerovi sa podarilo prelomiť internú databázu Rockstar Games a unikol … [+]
AFP prostredníctvom Getty Images
základné fakty
Podobne ako v prípade Uber hackHacker pod prezývkou „TeaPot“ tvrdil, že získal prístup k interným správam Rockstar Games na Slacku a skorému kódu pre ich neohlásené pokračovanie Grand Theft Auto od získanie prístupu na prihlasovacie údaje zamestnanca.
Zatiaľ čo presné detaily narušenia Rockstaru nie sú jasné, v prípade Uberu ide o hackera tvrdil, zamaskoval sa za IT pracovníka spoločnosti a presvedčil zamestnanca, aby zdieľal svoje prihlasovacie údaje.
Na rozdiel od iných spôsobov útokov, ktoré sa spoliehajú na nedostatky v bezpečnostnej architektúre spoločnosti, sociálne inžinierstvo sa zameriava na ľudí a spolieha sa na manipuláciu a podvod.
Odborníci tvrdiť že ľudia stále zostávajú „najslabším článkom“ v kybernetickej bezpečnosti, pretože ich možno ľahko oklamať, aby klikli na škodlivé odkazy alebo zdieľali svoje prihlasovacie údaje.
Na rozdiel od iných metód je sociálne inžinierstvo účinné aj pri porážke niektorých vylepšených bezpečnostné opatrenia ako jednorazové heslá a iné metódy viacfaktorovej autentifikácie.
Zásadný citát
Rachel Tobac, generálna riaditeľka firmy zaoberajúcej sa kybernetickou bezpečnosťou SocialProof Security a expertka na sociálne inžinierstvo tweet: „Tvrdou pravdou je, že väčšina [organizácií]
na svete by sa dalo hacknúť presne tak, ako bol práve hacknutý Uber...Mnoho [organizácií] stále interne nepoužíva [Multi Factor Authentication]...a nepoužívajú správcov hesiel (čo vedie k ukladaniu kreditov na ľahko vyhľadávateľných miestach. votrelec sa dostane dovnútra).
Kľúčové pozadie
Sociálne inžinierstvo sa v posledných rokoch použilo na vykonanie niekoľkých významných hackov, vrátane únos z viac ako 100 prominentných účtov na Twitteri – medzi nimi Elona Muska, bývalého prezidenta Baracka Obamu, Billa Gatesa a Kanye Westa – ktoré sa potom použili na propagáciu bitcoinového podvodu. Hacknutia vykonali tínedžeri, ktorým sa podarilo získať prístup k interným sieťam Twitteru tak, že sa zamerali na „malý počet zamestnancov“ podľa spoločnosť sociálnych médií. Minulý mesiac boli Cloudflare aj Twilio terčom útoku typu sociálneho inžinierstva nazývaného „phishing“, pri ktorom boli zamestnanci oklamaní, aby otvorili správu, ktorá sa tvárila ako legitímna firemná komunikácia, ale obsahovala škodlivý odkaz. Twilio, ktorá poskytuje služby zasielania správ a dvojfaktorovej autentifikácie, zverejnené že sa hackerom podarilo prelomiť interné databázy spoločnosti a získať prístup k nezverejnenému počtu zákazníckych účtov. Cloudflare, online sieť na doručovanie obsahu, poznamenať, hackerom sa nepodarilo získať prístup k jeho internej sieti.
Contra
Na rozdiel od Twilio, Uber a Rockstar, ktorých interné systémy boli narušené, Cloudflare sa podarilo vyhnúť sa tomuto osudu vďaka použitiu hardvérové bezpečnostné kľúče. Na rozdiel od iných metód viacfaktorovej autentifikácie, ako sú textové správy a jednorazové heslá, sú hardvérové bezpečnostné kľúče oveľa bezpečnejšie proti útokom sociálneho inžinierstva. Cieľový zamestnanec môže byť oklamaný, aby zdieľal podrobnosti textovej správy alebo jednorazového hesla, ale hacker musí získať fyzický bezpečnostný kľúč, aby získal prístup k účtu. Hardvérové bezpečnostné kľúče prichádzajú v rôznych formách vrátane USB kľúčov alebo Bluetooth kľúčov a musia byť zapojené alebo pripojené k zariadeniu, ktoré sa pokúša získať prístup k chránenému účtu. Hackeri, ktorí získajú prístup k povereniam zamestnancov, nebudú môcť pristupovať k svojim účtom, ktoré používajú túto formu zabezpečenia, bez toho, aby fyzicky získali prístup k ich kľúčom. V roku 2018 Google oznámila, že žiadny z jeho 85,000 XNUMX nebol úspešne zameraný prostredníctvom phishingového útoku po tom, čo rok predtým nariadil používanie fyzických bezpečnostných kľúčov.
Veľké číslo
323,972. To je celkový počet sťažností na útoky sociálneho inžinierstva prijatých FBI v roku 2021 – takmer trikrát vyšší ako v roku 2019 – podľa ročného Správa o internetovej kriminalite. Počas tohto obdobia hackeri podarilo ukradnúť celkovo 2.4 miliardy dolárov kompromitovaním obchodných e-mailových účtov prostredníctvom techník sociálneho inžinierstva.
Na čo sa zamerať
Jason Schreier z Bloombergu špekuloval, že nedávny hack môže podnietiť Rockstar obmedzenia miesta pri práci na diaľku. Odborníci na kybernetickú bezpečnosť predtým argumentoval že práca na diaľku si môže vyžadovať viac preventívnych opatrení, pretože robí zamestnancov zraniteľnejšími voči útokom sociálneho inžinierstva.
Ďalšie čítanie
Uber Hacker tvrdí, že hackol Rockstar Games, vydáva videá GTA 6 (Forbes)
FBI vyšetruje Uber & GTA 6 Hacks, podozrenie na vodcu britského vydieračského gangu tínedžerov (Forbes)
Zdroj: https://www.forbes.com/sites/siladityaray/2022/09/20/social-engineering-how-a-teen-hacker-allegedly-managed-to-breach-both-uber-and-rockstar- hry/